Mapeo de Illumio al Top 20 de la CEI

En las últimas semanas, hemos observado un aumento en las consultas de empresas que desean entender cómo Illumio les ayuda a habilitar su iniciativa de Controles de Seguridad del Centro para la Seguridad en Internet (CIS). Las directrices de controles principales de la CEI son ampliamente adoptadas y existen desde hace más de 10 años, con las últimas versión (7.1) lanzada en abril de 2019, por lo que nos intrigó esta tendencia. Hablamos con estas empresas sobre sus motivaciones e interés en Illumio y aprendimos mucho.

La mayoría de estas organizaciones han estado utilizando las directrices de mejores prácticas del CIS durante un tiempo, pero la rápida transición a modelos operativos de trabajo remoto se combinó con los informes Incrementos en ciberataques los están obligando a reevaluar sus controles y herramientas. Un Encuesta de CSO de abril de 2020 encontró que el 26% de los encuestados ha visto un aumento en el volumen, la gravedad y/o el alcance de los ciberataques desde mediados de marzo. Algunas de estas empresas continúan su transición a nubes públicas y están aumentando la huella de virtualización dentro de sus centros de datos. Todos quieren hacer un mejor trabajo al comprender las brechas en sus controles de seguridad y las tecnologías habilitadoras.

Con esto en mente, aquí hay una visión general de alto nivel sobre cómo Illumio soporta los 20 mejores controles CIS.

Visión general de los 20 principales controles de seguridad críticos de CIS

Comencemos con una imprimación rápida sobre el Los 20 principales controles de seguridad críticos de CIS. Los Controls fueron creados inicialmente por los equipos rojo y azul de la NSA, los laboratorios de energía nuclear del Departamento de Energía de Estados Unidos, las organizaciones policiales y algunas de las principales organizaciones forenses y de respuesta a incidentes del país.

Los controles se derivan de los más comunes patrones de ataque destacado en los principales informes sobre amenazas y examinado en una comunidad muy amplia de profesionales gubernamentales y de la industria. Reflejan el conocimiento combinado de expertos forenses y de respuesta ante incidentes comerciales y gubernamentales.

Implementar y poner en funcionamiento los 20 principales controles de seguridad de CIS no es un ejercicio “único”. La tecnología, el panorama de amenazas y las técnicas de ataque evolucionan constantemente. Los controles se actualizan, validan y refinan cada año. No están destinados a reemplazar un programa de cumplimiento de normas, y en realidad se mapean a marcos como NIST CSF y estándares de cumplimiento de normas como PCI-DSS y HIPAA. Muchos utilizan los controles CIS como base para las mejores prácticas de seguridad de la información, que luego aumentan para abordar casos de esquina y cumplir requerimientos altamente específicos y prescriptivos.

Mapeo de Illumio a los 20 mejores controles de CIS

Así es como las capacidades de Illumio le ayudan a cumplir o dar soporte directo a un control CIS.

Controles básicos

1. Inventario y Control de Activos de Hardware. Illumio soporta este control al permitirle usar el tiempo real mapa de dependencia de aplicaciones para identificar y validar los componentes del servidor de hardware que pertenecen a un grupo de aplicaciones y los servidores y dispositivos autorizados para conectarse con las aplicaciones. Illumio soporta la integración basada en API con herramientas de terceros como NAC, descubrimiento de activos, ServiceNow CMDB y Mapeo de servicios para validar el inventario. El agente de Illumio soporta bare-metal, VM, instancias de nube pública, contenedores y recopila información de telemetría (direcciones IP, puertos, procesos, protocolos) para construir el mapa de dependencia de aplicaciones.

2. Inventario y Control de Activos de Software. Illumio soporta este control, permitiéndole utilizar mapa de dependencia de aplicaciones para identificar las aplicaciones y los componentes de carga de trabajo que pertenecen al grupo de aplicaciones y los demás componentes de pila de software autorizados para conectarse, incluidas conexiones de múltiples nubes, de contenedor a servidor y conexiones con instancias de nube pública. La información sobre conectividad y flujos enriquece la información de inventario de software que es administrada por las herramientas de administración de activos, CMDB y SCM. El modelo de denegación predeterminada de Illumio segrega lógicamente las aplicaciones de alto riesgo que se requieren para las operaciones del negocio. La visibilidad sin agente, para escenarios en los que los agentes no son compatibles, como AWS RDS, Azure Managed SQL, flujos GCP y archivadores de almacenamiento de información, se habilita mediante la función Flowlink.

3. Administración Continua de Vulnerabilidades. Illumio soporta este control mediante la integración con escáneres de vulnerabilidades e ingeriendo información sobre vulnerabilidades. Utiliza esta información para mostrar visualmente malwarede posibles vías de ataque lateral. El Puntuación de exposición a vulnerabilidades ofrece un cálculo del riesgo centrado en el negocio. Puede utilizar esta información para mejorar su capacidad de priorizar su estrategia de parches y aplicar la segmentación a nivel de proceso para instancias en las que la aplicación de parches no es operativamente factible.

4. Uso Controlado de Privilegios Administrativos. Illumio soporta este control integrándose con las principales soluciones de MFA. Illumio puede monitorear y aplicar políticas para garantizar que las estaciones de trabajo dedicadas estén aisladas y que se apliquen los privilegios mínimos. En Entornos VDI, las conexiones a las aplicaciones de carga de trabajo se controlan en función de la pertenencia al grupo Microsoft del usuario.

5. Configuración segura para hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores. Illumio soporta herramientas SCM al proporcionar visibilidad de todo el tráfico e identificar rápidamente los puertos/protocolos utilizados por las cargas de trabajo que poseen las aplicaciones no esperar, para que puedan remediar rápidamente.

6. Mantenimiento, Monitoreo y Análisis de Registros de Auditoría.Si un cliente utiliza Illumio para segmentar su centro de datos interno y las conexiones de nube, usuario a aplicación y punto final peer-to-peer, Illumio mantiene un registro de todas las conexiones y flujos de tráfico, eventos (tráfico permitido, bloqueado, potencialmente bloqueado) y el historial de políticas, reglas y eventos relacionados. Los operadores autorizados pueden buscar en la base de datos de tráfico histórico de Illumio las operaciones, respuesta a incidentes e investigaciones, reporting y auditoría. Illumio se integra con herramientas SIEM líderes como Splunk, IBM QRadary ArcSight para archivar, buscar y correlacionar conjuntos masivos de datos de registro y eventos para reporting, investigaciones y respuesta a incidentes.

Controles fundamentales

9. Limitación y Control de Puertos de Red, Protocolos y Servicios. Illumio cumple directamente con este control. Illumio utiliza información sobre las conexiones de la aplicación (conexiones históricas detalladas sobre conexiones y flujos de tráfico, incluidos puertos, procesos y protocolos) para recomendar inicialmente las reglas de firewall aplicables. Illumio tiene un modelo de denegación predeterminado, por lo que las conexiones fuera del cumplimiento de normas pueden bloquearse o bloquearse potencialmente.

11. Configuración segura para dispositivos de red, como firewalls, routers y switches. Illumio cumple directamente con este control. Illumio mantiene información histórica detallada y en tiempo real sobre el tráfico y los registros de eventos para validar que los dispositivos de red, específicamente los firewalls Este-Oeste, estén haciendo lo que deberían ser y no permitir el tráfico que la política de firewall debería prohibir. Los usuarios pueden crear una IP denylist para bloquear las comunicaciones con direcciones IP de Internet maliciosas o no utilizadas conocidas. Los usuarios pueden programar conexiones para limitar la carga de trabajo a las conexiones de carga de trabajo a puertos, procesos y protocolos específicos. Illumio Core implementa la prevención de manipulación de VEN. Puede implementar microsegmentación con Illumio para que las máquinas de administración de red puedan aislarse y tener acceso elevado. Puede implementar una segmentación más precisa sin rediseñar las VLAN y las subredes cada vez que cambia la necesidad del negocio.

12. Defensa de Límites. Illumio cumple directamente con este control. Illumio aplica la segmentación basada en host para monitorear y controlar conexiones y flujos a través de aplicaciones y dispositivos con diferentes niveles de confianza. Puede lograr una segmentación completa sin una costosa y arriesgada rearquitectura de su infraestructura de red.

13. Protección de Datos. Illumio soporta este requisito al evitar de manera proactiva que las cargas de trabajo no autorizadas y los usuarios se conecten a aplicaciones protegidas mediante el modelo de denegación predeterminado y al identificar y bloquear las posibles vías de ataque lateral de actores malintencionados. Illumio detecta y bloquea conexiones no autorizadas que pueden intentar transferir información confidencial y envía alertas a seguridad. También puede usar Illumio para programar y hacer cumplir políticas que controlan el acceso y las conexiones a proveedores de nube y correo electrónico.

14. Acceso Controlado Basado en la Necesidad de Saber. Illumio cumple directamente con este control. Illumio se puede utilizar para controlar las conexiones autorizadas a través de cargas de trabajo, aplicaciones, VDI usuarios y dispositivos. Núcleo de Illumio puede ayudar a administrar el acceso a un entorno mediante la administración del acceso de red a un sistema y la posible administración del acceso lógico. Las direcciones IP externas se pueden agregar específicamente a los conjuntos de reglas y aplicarse a grupos en función de la necesidad de los usuarios de acceder a estos sistemas (los usuarios pueden ser máquinas u operadores individuales). Estas reglas se pueden habilitar/deshabilitar a nivel de política para deshabilitar de manera inmediata y eficiente cierto acceso a los sistemas. En entornos VDI, Segmentación Adaptativa de Usuarios se puede utilizar para permitir el acceso a ciertos recursos según la política de grupo de Active Directory.

15. Control de Acceso Inalámbrico. Illumio soporta este control programando y haciendo cumplir la segmentación para el acceso inalámbrico en dispositivos y servidores autorizados específicos y restringiendo el acceso a otras redes inalámbricas.

16. Monitoreo y Control de Cuentas. Illumio soporta este control mediante la integración con SSO de terceros y herramientas de control de acceso. También puede utilizar el cifrado bajo demanda de Illumio para garantizar que todos los nombres de usuario y credenciales de autenticación de cuentas se transmitan a través de redes mediante canales cifrados.

Controles organizacionales

18. Seguridad del Software de Aplicaciones. Illumio soporta este control mediante la aplicación de políticas de microsegmentación para separar la producción de los sistemas no productivos. Illumio también programa reglas de firewall basadas en host para garantizar que los desarrolladores no tengan acceso sin supervisión ni trabas a los sistemas de producción.

19. Administración y Respuesta a Incidentes. Illumio soporta este control. Los usuarios autorizados pueden extraer informes de la base de datos de tráfico histórico de Illumio, eventos y datos de registro para soportar investigaciones y flujos de trabajo de respuesta a incidentes.

20. Pruebas de Penetración y Ejercicios de Equipo Rojo. Illumio soporta este control. Las organizaciones pueden usar la información del mapa de dependencia de aplicaciones, conjuntos de reglas y agrupaciones de aplicaciones como línea de base para diseñar el alcance de sus pruebas de lápiz.

Para resumirlo

Los eventos sistémicos generalmente desencadenan una evaluación de los controles de seguridad existentes. Illumio ayuda a las empresas a implementar un enfoque pragmático para evaluar y habilitar su implementación de controles CIS Top 20. Las empresas pueden hacer esto aprovechando las siguientes capacidades:

1. Mapeo de dependencias de aplicaciones en tiempo real que ayuda a identificar nuevas conexiones y cambios en las conexiones a sistemas de alto valor que se derivan de cambios en el modelo operativo.
2. Mapas de Vulnerabilidad que calculen e ilustren visualmente la explotabilidad de una vulnerabilidad. Esto ayuda a priorizar los controles y los esfuerzos de segmentación en torno a los activos y conexiones más riesgosos.
3. Segmentación a través de un modelo de denegación predeterminado que no se basa en la rearquitectura de la arquitectura de red.
4. Integración basada en API con operaciones de TI de terceros, herramientas de seguridad y análisis que le ayudan a monitorear continuamente las tendencias que introducen nuevos riesgos para su empresa. Estas integraciones también le ayudan a desarrollar e implementar planes para mejorar la eficacia de los controles existentes.

El CIS Top 20 Controls ofrece higiene de seguridad básica, pero también proporciona el marco para priorizar las brechas y los controles de seguridad que tendrán el mayor impacto en su organización.

Si desea obtener más información sobre las capacidades de Illumio, consulte Núcleo de Illumio.